8月のWeb3セキュリティインシデント総まとめ:被害総額は約3.16億ドル
TechFlow厳選深潮セレクト
8月のWeb3セキュリティインシデント総まとめ:被害総額は約3.16億ドル
ハッキング事件は合計28件発生し、約2億5300万米ドルの損失をもたらした。うち1358万米ドルが返還された。事件の原因は、コントラクトの脆弱性、アカウントの乗っ取り、フロントエンド攻撃などである。
Web3業界の深掘り報道に専念し潮流を洞察執筆:Man Mist Technology
概要
2024年8月、Web3のセキュリティ関連事件による損失額は約3.16億ドルに上った。そのうち、Man Mistのブロックチェーンハッキングアーカイブ(https://hacked.slowmist.io)によると、ハッキング事件は28件発生し、約2.53億ドルの損失が生じた。返還された資金は1358万ドルで、原因はスマートコントラクトの脆弱性、アカウント乗っ取り、フロントエンド攻撃など多岐にわたる。また、Web3アンチスキャムプラットフォームScam Snifferの統計では、今月のフィッシング被害者は9,145名にのぼり、総損失額は6,293万ドルに達した。
(https://dune.com/scam-sniffer/august-scam-sniffer-2024-phishing-report)
主な事件
Convergence Finance
2024年8月1日、Convergence Financeが攻撃を受け、攻撃者は5800万枚のCVGトークンを不正に発行・売却し、約21万ドル(ステーキング報酬用として割り当てられた全供給量相当)を盗んだ。また、Convexからの未受領報酬約2,000ドルも盗まれた。Convergence Financeが公表した事故分析レポートによれば、根本的な原因は報酬分配コントラクトの`claimMultipleStaking`関数においてユーザー入力の検証が不足していたことにある。
(https://medium.com/@cvg_wireshark/post-mortem-08-01-2024-e80a49d108a0)
Ronin
2024年8月6日、ゲーム向けブロックチェーンRoninが攻撃を受け、Ronin Bridgeプロジェクトでクロスチェーン資産の異常な引き出しが発生した。Man Mistセキュリティチームの分析によると、攻撃の原因は重み付けが意図しない値に変更され、マルチシグ閾値チェックなしに資金が引き出せる状態になったためである。攻撃者はブリッジから約4,000ETHおよび200万USDCを引き出し、合計約1,200万ドル相当の資産を盗んだ。8月7日時点で、ホワイトハットにより1,200万ドル相当の資産が返還され、50万ドルのバグボountyが支払われた。
(https://x.com/slowmist_team/status/1820783952145355247?s=46&t=DLwbX9Nw4QECiyZQ0av-fg)
Nexera
2024年8月7日、外部の攻撃者がNexera Fundrsプラットフォームのスマートコントラクト管理資格を取得した。これにより、攻撃者はイーサリアム上のFundrsステーキングコントラクトからNXRAトークンを移動させ、約183万ドルの損失が発生した。盗まれた4,724万NXRAのうち、攻撃者は1,475万NXRA(約44.9万ドル)のみを売却。Nexeraは攻撃者のウォレットから残りの3,250万NXRA残高を回収し、追加損失を防いだ。
Vow
2024年8月13日、Vowはスマートコントラクトの脆弱性により攻撃され、約120万ドルの損失が出た。VOW側の説明では、当時チームがv$コントラクトのUSDレート設定機能をテスト中であり、新たな貸借プールおよびオラクル機能向けにv$を発行しようとしていた。攻撃者はこの一時的な時間的ウィンドウと為替レートの変動を悪用し、大量のVOWトークンを購入してコントラクトに送信、約20億のv$を生成してUniswapの流動性プールに売却することで利益を得た。
(https://x.com/Vowcurrency/status/1823407231658025300)
User
2024年8月19日、チェーン上探偵ZachXBTの情報によると、4,064BTC(約2.38億ドル相当)の不審な送金が潜在的な被害者から発生した可能性がある。その後、資金はThorChain、eXch、Kucoin、ChangeNow、Railgun、Avalanche Bridgeへ迅速に転送された。8月27日までに、20.5万ドルが回収された。
(https://x.com/zachxbt/status/1825499490956231021)
User
2024年8月21日、Scam Snifferの監視によると、あるユーザーがDeFi Saver Proxy向けのフィッシング取引に署名した結果、5,543万ドル相当のDAIを失った。MistTrackの分析では、この資金は複数のアドレスに送られ、大部分がETHに交換された。
(https://x.com/MistTrack_io/status/1826273448626356697)
Aave
2024年8月28日、DeFiレンディングプラットフォームAaveの周辺コントラクトが攻撃され、任意呼び出しバグにより約5.6万ドルの損失が発生した。影響を受けた周辺コントラクトParaSwapRepayAdapterはAaveコアプロトコルに含まれず、既存の担保を使ってローンを返済する際、分散型取引所ParaSwapを通じて資産交換を行う機能を持つ。本来このコントラクトはユーザー資金を保有すべきではないが、取引中のポジティブスリッページにより、少しずつ余剰トークンが蓄積されていた。Aave関係者は、今回の攻撃はユーザー資金に危険を及ぼさず、コアプロトコルのセキュリティにも影響しなかったと強調している。
(https://x.com/bgdlabs/status/1828736554262470792)
まとめ
今月はアカウントセキュリティがリスクの集中地となった。アカウント乗っ取り事件は全体のハッキング事件の64.3%を占めた。特に注目すべきは、ハッカーの標的が著名なブロックチェーンプロジェクトや関係者にとどまらず、キリアン・ムバッペなどのスポーツスター、マクドナルドなどの伝統的ブランドにも及んでいる点である。ハッカーは有名アカウントを乗っ取った後、フィッシングリンク付きの投稿を行ったり、特定のトークンを宣伝したりする。Man Mistセキュリティチームは、ユーザーに対しフィッシング攻撃への警戒を呼びかけ、情報の真偽を複数のソースで確認し、投資には慎重になるよう注意を促している。今月のアカウント乗っ取り事件の多くはDiscord上で発生しており、以前当社が「Man Mist:悪意のあるブラウザブックマークがいかにしてあなたのDiscord Tokenを盗むか」で解説したDiscord Tokenの仕組みについて詳しく説明しているため、リンククリックで参照可能である。
最後に、本稿で紹介したのは今月の主なセキュリティ事件に限られる。それ以外のブロックチェーンセキュリティ事件については、Man Mistのブロックチェーンハッキングアーカイブ(https://hacked.slowmist.io/)で確認でき、原文を読むにはそのままリンク先に遷移できる。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
@SlowMist_Team
